• No se han encontrado resultados

ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA DE LA UNIVERSIDAD INTERNACIONAL SEK - ECUADOR EN EL CAMPUS MIGUEL DE CERVANTES

N/A
N/A
Protected

Academic year: 2020

Share "ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA DE LA UNIVERSIDAD INTERNACIONAL SEK - ECUADOR EN EL CAMPUS MIGUEL DE CERVANTES"

Copied!
191
0
0

Texto completo

(1)

UNIVERSIDAD INTERNACIONAL SEK

FACULTAD DE ARQUITECTURA E INGENIERÍAS

Trabajo de fin de carrera titulado:

"ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA DE LA UNIVERSIDAD INTERNACIONAL SEK-

ECUADOR EN EL CAMPUS MIGUEL DE CERVANTES"

Realizado por:

LUIS ALBERTO DARIK MUÑOZ ALVAREZ

Director del proyecto:

ING. EDISON ESTRELLA, MBA.

Como requisito para la obtención del título de:

INGENIERO EN TELECOMUNICACIONES

(2)
(3)

iii

DECLARACIÓN JURAMENTADA

Yo, LUIS ALBERTO DARICK MUÑOZ ALVAREZ, con cédula de identidad

#1722945688, declaro bajo juramento que el trabajo aquí desarrollado es de mi autoría,

que no ha sido previamente presentado para ningún grado a calificación profesional; y,

que he consultado las referencias bibliográficas que se incluyen en el documento.

A través de la presente declaración, cedo mis derechos de propiedad intelectual

correspondientes a este trabajo, a la UNIVERSIDAD INTERNACIONAL SEK, según

lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normativa

vigente.

_______________________________

(4)

iv

DECLARATORIA

El presente trabajo de investigación titulado:

"ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE

SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA

DE LA UNIVERSIDAD INTERNACIONAL SEK - ECUADOR EN EL CAMPUS

MIGUEL DE CERVANTES"

Realizado por:

LUIS ALBERTO DARIK MUÑOZ ALVAREZ

Como requisito para la obtención del título de:

INGENIERO EN TELECOMUNICACIONES

Ha sido dirigido por el docente:

ING. EDISON ESTRELLA, MBA.

Quien considera que constituye un trabajo original de su autor

_________________________

Ing. Edison Estrella, MBA.

(5)

v

DECLARATORIA

El profesor informante:

ING. JUAN GRIJALVA

Después de revisar el trabajo presentado,

lo ha calificado como apto para su defensa oral ante

el tribunal examinador

_______________________

Ing. Juan Grijalva, MSC.

(6)

vi

DEDICATORIA

Dedico el presente proyecto de

investigación de manera muy especial a

mis padres y a mis hermanos que con su

constante e incondicional apoyo han

sido y serán siempre la base

fundamental en mi vida.

A mis familiares y amigos más

cercanos por su afecto y cariño en todo

momento.

Y a un gran amigo que siempre estuvo

(7)

vii

AGRADECIMIENTO

A Dios.

A mis padres.

A mis hermanos.

A mis familiares.

A mis amigos.

A mi tutor.

A mis profesores.

(8)

viii

ÍNDICE GENERAL

DECLARACIÓN JURAMENTADA ____________________________________________ iii

DECLARATORIA ___________________________________________________________ iv

DECLARATORIA ___________________________________________________________ v

DEDICATORIA _____________________________________________________________ vi

AGRADECIMIENTO _______________________________________________________ vii

RESUMEN________________________________________________________________ xxiii

ABSTRACT _______________________________________________________________ xxiv

CAPÍTULO I _______________________________________________________________ 25

INTRODUCCIÓN _________________________________________________________ 25

1.1 El Problema de Investigación __________________________________________ 25

1.1.1 Planteamiento del Problema _________________________________________ 25

1.1.2 Objetivo General __________________________________________________ 27

1.1.3 Objetivos Específicos ______________________________________________ 27

1.1.4 Justificación _____________________________________________________ 28

1.1.5 Alcance _________________________________________________________ 29

1.2 Marco Teórico _____________________________________________________ 30

(9)

ix

1.3 Marco Conceptual ___________________________________________________ 35

1.3.1 Sistema Operativo _________________________________________________ 35

1.3.2 Servicios del Sistema Operativo ______________________________________ 36

1.3.3 Sistemas Distribuidos ______________________________________________ 37

1.3.4 Hardware de red __________________________________________________ 38

1.3.4.1 PAN ________________________________________________________ 41

1.3.4.2 LAN ________________________________________________________ 41

1.3.4.3 WAN _______________________________________________________ 41

1.3.5 Redes inalámbricas ________________________________________________ 41

1.3.5.1 Redes de área local inalámbricas (WLAN) __________________________ 42

1.3.5.2 Tecnología Wi-Fi ______________________________________________ 42

1.3.5.3 Estándares Wi-Fi ______________________________________________ 43

1.3.5.4 Estándar 802.1x _______________________________________________ 43

1.3.5.5 IEEE 802.1x y EAP ____________________________________________ 43

1.3.6 Software de red ___________________________________________________ 45

1.3.7 Servicios de conexión ______________________________________________ 45

1.3.7.1 Servicio orientado a conexión ____________________________________ 45

1.3.7.2 Servicio orientado sin conexión __________________________________ 46

1.3.8 Arquitectura de seguridad ___________________________________________ 46

1.3.9 Modelo de referencia TCP/IP ________________________________________ 47

(10)

x

1.3.10.1 Autenticación _________________________________________________ 48

1.3.10.2 Criptografía __________________________________________________ 49

1.3.10.3 Algoritmos de Autentificación HASH _____________________________ 51

1.3.11 Servicio de Directorio ____________________________________________ 51

1.3.12 Certificado Digital _______________________________________________ 52

1.3.13 Autoridad Certificadora CA _______________________________________ 53

1.3.14 Renovación de Certificados _______________________________________ 54

1.3.15 Revocación de Certificados ________________________________________ 54

1.3.16 PEAP _________________________________________________________ 54

1.3.17 LDAP ________________________________________________________ 55

1.3.18 RADIUS ______________________________________________________ 56

1.3.19 Servidor de Base de Datos ________________________________________ 57

1.3.20 SQL Server ____________________________________________________ 57

1.3.21 Servidor DNS __________________________________________________ 58

1.3.22 Servidor DHCP _________________________________________________ 58

1.3.23 NAS __________________________________________________________ 59

1.3.24 Active Directory ________________________________________________ 59

CAPÍTULO II ______________________________________________________________ 60

MÉTODO ________________________________________________________________ 60

(11)

xi

2.1.1 Estudio Preliminar ________________________________________________ 60

2.1.2 Estudio de Factibilidad _____________________________________________ 61

2.1.2.1 Operativa ____________________________________________________ 61

2.1.2.2 Técnica ______________________________________________________ 63

2.1.2.3 Tecnológica __________________________________________________ 64

2.1.2.4 Económica ___________________________________________________ 67

2.2 Diseño ____________________________________________________________ 69

2.2.1 Esquema General de la Solución Técnica _______________________________ 69

3.1 CONSTRUCCIÓN __________________________________________________ 73

3.2 IMPLEMENTACIÓN _______________________________________________ 76

3.2.1 Hardware ________________________________________________________ 77

3.2.1.1 Antena Unifi AP ______________________________________________ 77

3.2.1.2 Características generales ________________________________________ 78

3.2.1.3 Controlador UNIFI ____________________________________________ 78

3.2.1.4 Características Técnicas ________________________________________ 80

3.2.2 Software ________________________________________________________ 81

3.2.2.1 Zeroshell ____________________________________________________ 82

3.2.2.2 Windows Server 2008 R2 _______________________________________ 82

3.2.3 Implementación Inicial _____________________________________________ 84

3.2.3.1 Instalación del controlador y consola de administración del AP__________ 84

(12)

xii

3.2.3.3 Autoridad Certificadora _________________________________________ 97

3.2.3.4 Configuración del servidor RADIUS en Zeroshell ____________________ 99

3.2.3.5 Clave Pública ________________________________________________ 100

3.2.3.6 Instalación y configuración de Windows Server 2008 R2 _____________ 105

CAPÍTULO IV ____________________________________________________________ 161

DISCUSIÓN _____________________________________________________________ 161

4.1 CONCLUSIONES _________________________________________________ 161

4.2 RECOMENDACIONES ____________________________________________ 164

BIBLIOGRAFÍA___________________________________________________________ 166

ANEXOS _________________________________________________________________ 169

ANEXO A – CERTIFICADO PRUEBAS DE IMPLEMENTACIÓN _____________ 169

ANEXO B – ÍNDICE DE ABREVIATURAS __________________________________ 170

(13)

xiii

ÍNDICE TABLAS

Tabla No. 1: Software disponible ________________________________________________ 66

Tabla No. 2: Presupuesto de Costos aproximados ___________________________________ 68

Tabla No. 3: Criterios de solución _______________________________________________ 70

Tabla No. 4: Características técnicas antena AP Unifi (Ubiquiti) _______________________ 81

(14)

xiv

ÍNDICE DE FIGURAS

Figura No. 1: Ethernet conmutada _______________________________________________ 39

Figura No. 2: Internet _________________________________________________________ 40

Figura No. 3: Modelo TCP/IP ___________________________________________________ 48

Figura No. 4: Criptografía de datos ______________________________________________ 49

Figura No. 5: Diagrama de solución ______________________________________________ 71

Figura No. 6: Diagrama de comunicación entre usuarios – clientes - RADIUS ____________ 71

Figura No. 7: Diagrama de validación ____________________________________________ 72

Figura No. 8: Access Point UAP-LR (Long Range)__________________________________ 77

Figura No. 9: AP rango de cobertura _____________________________________________ 80

Figura No. 10: Arranque del controlador AP _______________________________________ 85

Figura No. 11 Interfaz web de configuración _______________________________________ 85

Figura No. 12: AP conectadas __________________________________________________ 86

Figura No. 13: Configuración del SSID ___________________________________________ 87

Figura No. 14: Configuración de administrador _____________________________________ 87

(15)

xv

Figura No. 16: Consola de administración web _____________________________________ 88

Figura No. 17: Ingreso y visualización del AP ______________________________________ 89

Figura No. 18: Creación de la máquina virtual (modo de instalación) ____________________ 90

Figura No. 19: Resumen de máquina virtual _______________________________________ 90

Figura No. 20: Opciones de Configuración ________________________________________ 91

Figura No. 21: Ingreso a interfaz web ____________________________________________ 91

Figura No. 22: Modificación de la dirección IP _____________________________________ 92

Figura No. 23: Interfaz web de Zeroshell __________________________________________ 93

Figura No. 24: Creación perfil __________________________________________________ 93

Figura No. 25: Creación de la partición ___________________________________________ 94

Figura No. 26: Selección de partición creada _______________________________________ 94

Figura No.27: Formulario de creación de perfil _____________________________________ 95

Figura No.28: Resumen del perfil creado __________________________________________ 95

Figura No. 29: Activación del nuevo perfil creado___________________________________ 96

Figura No. 30: Ingreso a la interfaz reiniciada ______________________________________ 97

Figura No. 31: Creación de CA _________________________________________________ 97

(16)

xvi

Figura No. 33: Lista de usuarios existentes ________________________________________ 98

Figura No. 34: Resumen del certificado creado _____________________________________ 99

Figura No. 35: Activación del servidor RADIUS ___________________________________ 100

Figura No. 36: Registro de clientes RADIUS ______________________________________ 100

Figura No. 37: Clave pública descargada _________________________________________ 101

Figura No. 38: Clave privada exportada __________________________________________ 101

Figura No. 39: Importación del certificado________________________________________ 102

Figura No. 40: Carga de certificado _____________________________________________ 103

Figura No. 41: Mensaje de importación realizada __________________________________ 103

Figura No. 42: Detalle de Radius CA ____________________________________________ 104

Figura No. 43: Mensaje de confirmación _________________________________________ 105

Figura No. 44: Creación de la máquina virtual en VMware ___________________________ 105

Figura No. 45: Instalación del Sistema Operativo __________________________________ 106

Figura No. 46: Ventana de tareas de configuración inicial ____________________________ 106

Figura No. 47: Configuración de direcciones del servidor ____________________________ 107

Figura No. 48: Cambio del nombre del equipo (servidor) ____________________________ 107

(17)

xvii

Figura No. 50: Asistente para instalación de roles del servidor ________________________ 108

Figura No. 51: Selección de rol ________________________________________________ 109

Figura No. 52: Resultados de la instalación _______________________________________ 109

Figura No. 53: Administrador de DNS ___________________________________________ 110

Figura No. 54: Asistente de nueva zona __________________________________________ 110

Figura No. 55: Tipo de zona ___________________________________________________ 111

Figura No. 56: Nombre de zona ________________________________________________ 111

Figura No. 57: Finalización de creación de nueva zona ______________________________ 112

Figura No. 58: Host nuevo ____________________________________________________ 112

Figura No. 59: Ingreso de IP en el host nuevo _____________________________________ 113

Figura No. 60: Registro de host ________________________________________________ 113

Figura No. 61: Alias nuevo ____________________________________________________ 114

Figura No. 62: Nombre de alias ________________________________________________ 114

Figura No. 63: Nombre de dominio para host destino _______________________________ 115

Figura No. 64: Registros de host y alias __________________________________________ 115

Figura No. 65: Creación de nueva zona __________________________________________ 116

(18)

xviii

Figura No. 67: Nueva zona para IPv4 ____________________________________________ 117

Figura No. 68: Id de red de zona nueva __________________________________________ 117

Figura No. 69: Finalización del asistente _________________________________________ 118

Figura No. 70: Nuevo puntero (PTR) ____________________________________________ 118

Figura No. 71: Configuración del puntero ________________________________________ 119

Figura No. 72: Nuevo registro de recursos ________________________________________ 119

Figura No. 73: Nuevo puntero registrado _________________________________________ 120

Figura No. 74: Configuración IP de la máquina física _______________________________ 120

Figura No. 75: Comprobación de conexión _______________________________________ 121

Figura No. 76: Rol de Servidor DHCP ___________________________________________ 121

Figura No. 77: Especificaciones de configuración para servidor DHCP _________________ 122

Figura No. 78: Especificación de datos para nuevo ámbito ___________________________ 123

Figura No. 79: Resumen informativo del rol instalado _______________________________ 123

Figura No. 80: Cuentas de usuario del servidor ____________________________________ 124

Figura No. 81: Servidor DHCP _________________________________________________ 124

Figura No. 82: Configuración IP de la maquina física _______________________________ 125

(19)

xix

Figura No. 84: Estado de conexión desde servidor a equipo terminal ___________________ 126

Figura No. 85: Asistente de instalación de servicios de dominio de AD _________________ 126

Figura No. 86: Configuración de implementación __________________________________ 127

Figura No. 87: Asignación de nombre al dominio raíz del bosque _____________________ 128

Figura No. 88: Nivel funcional del bosque ________________________________________ 128

Figura No. 89: Ingreso de contraseña ____________________________________________ 129

Figura No. 90: Finalización del asistente de instalación de AD ________________________ 129

Figura No. 91: Creación de Unidad organizativa en AD _____________________________ 130

Figura No. 92: Unidad organizativa _____________________________________________ 130

Figura No. 93 Creación de usuario dentro de la unidad ______________________________ 131

Figura No. 94: Asignación de contraseña del usuario _______________________________ 131

Figura No. 95: Usuario creado en la unidad RADIUS en AD _________________________ 132

Figura No. 96: Propiedades del usuario creado ____________________________________ 132

Figura No. 97: Creación de Grupo ______________________________________________ 133

Figura No. 98: Nuevo grupo creado _____________________________________________ 133

Figura No. 99: Nuevo equipo creado ____________________________________________ 134

(20)

xx

Figura No. 101: Ingreso de nombre de objeto _____________________________________ 135

Figura No. 102: Tipos de objeto ________________________________________________ 135

Figura No. 103: Configuración de objetos del grupo ‘groupradius’ _____________________ 136

Figura No. 104: Miembros agregados al grupo ____________________________________ 136

Figura No. 105: Instalación de roles en el servidor _________________________________ 137

Figura No. 106: Instalación de roles adicionales en el servidor ________________________ 137

Figura No. 107: Consola raíz del sistema en el servidor RADIUS _____________________ 138

Figura No. 108: Plantillas de certificado _________________________________________ 138

Figura No. 109: Configuración de complemento de certificados _______________________ 138

Figura No. 110: Configuración de selección de equipo ______________________________ 139

Figura No. 111: Certificados___________________________________________________ 139

Figura No. 112: Entidad de certificación _________________________________________ 140

Figura No. 113: Selección de plantilla ___________________________________________ 140

Figura No. 114: Plantilla duplicada _____________________________________________ 141

Figura No. 115: Propiedades de plantilla nueva ____________________________________ 141

Figura No. 116: Nombre del sujeto______________________________________________ 142

(21)

xxi

Figura No. 118: Seguridad para equipos del dominio _______________________________ 143

Figura No. 119: Configuración de nueva plantilla __________________________________ 144

Figura No. 120: Selección de plantilla de certificado ________________________________ 144

Figura No. 121: Solicitud de certificado nuevo ____________________________________ 145

Figura No. 122: Inscripción de certificados _______________________________________ 145

Figura No. 123: Selección de directiva de inscripción de certificación __________________ 146

Figura No. 124: Solicitud de certificados _________________________________________ 146

Figura No. 125: Propiedades de certificado elegido _________________________________ 147

Figura No. 126: Resultados de instalación de certificado_____________________________ 147

Figura No. 127: Configuración almacenada en el servidor ___________________________ 148

Figura No. 128: Configuración NPS (local) _______________________________________ 148

Figura No. 129: Selección del tipo de conexión 802.1X _____________________________ 149

Figura No. 130: Registro de datos del nuevo cliente RADIUS ________________________ 150

Figura No. 131: Método de autenticación _________________________________________ 150

Figura No. 132: Agregar grupo _________________________________________________ 151

Figura No. 133: Selección de grupo de AD _______________________________________ 151

(22)

xxii

Figura No. 135: Punto de acceso con dirección IP por DHCP _________________________ 152

Figura No. 136: Autenticación del usuario de prueba ‘a01’ en la red inalámbrica _________ 153

Figura No. 137: Ingreso de credenciales de autenticación ____________________________ 154

Figura No. 138: Conexión a la red inalámbrica ____________________________________ 154

Figura No. 139: Usuario autentificado y conectado a la red inalámbrica _________________ 155

Figura No. 140: Dirección IP por DHCP del equipo terminal _________________________ 155

Figura No. 141: Comprobación de estado de conexión desde equipo terminal ____________ 156

Figura No. 142: Asignación de direcciones IP por DHCP ____________________________ 156

Figura No. 143: Registro de usuario activo en la consola del AP ______________________ 157

Figura No. 144: Usuario de terminal móvil autenticado y conectado ___________________ 157

Figura No. 145: Características del nuevo usuario conectado _________________________ 157

Figura No. 146: Dirección IP asignado a terminal móvil por DHCP ____________________ 158

Figura No. 147: Usuarios conectados a la red inalámbrica ___________________________ 158

Figura No. 148: Menú de opciones administrativas de la consola de AP_________________ 159

Figura No. 149: Redes inalámbricas existentes ____________________________________ 159

Figura No. 150: Configuración de la red inalámbrica en la consola de AP _______________ 160

(23)

xxiii

RESUMEN

El presente trabajo de investigación tiene el objeto de mostrar el análisis, diseño e

implementación de una arquitectura de seguridad para el control de acceso a la red inalámbrica de

la Universidad Internacional SEK en el campus Miguel de Cervantes, el cual permite solventar los

problemas y necesidades debido a la inexistencia de seguridad en la red inalámbrica de la

institución. La implementación de la propuesta de solución proporciona un esquema de control y

gestión de acceso de usuarios, consiguiendo que el uso de la red sea exclusivamente utilizado por

usuarios vinculados a la institución; haciendo que la administración de la red sea eficiente y

garantice la disponibilidad de recursos y servicios. El análisis y el diseño de la arquitectura de

seguridad fueron propuestos en base a las necesidades de adaptabilidad a las herramientas

administrativas y de infraestructura de red de la institución. La etapa de desarrollo se sustentó en

la implementación de prueba de un servidor de autenticación RADIUS que proporciona servicios

de autenticación, autorización y contabilidad (AAA) para el acceso de usuarios registrados. Con

ello se consigue una optimización del uso de ancho de banda y la disminución del tráfico en la red.

También se utilizaron los roles y servicios disponibles por el sistema operativo base, certificados

digitales, un directorio activo y una base de datos en SQL Server. Las herramientas de desarrollo

e implementación fueron de software propietario. Por tanto, se presenta como resultado final un

esquema administrable de seguridad para un adecuado control y gestión acceso de los usuarios.

(24)

xxiv

ABSTRACT

This research has the object to show the analysis, design and implementation of a security

architecture for access control to the wireless network of the International University SEK in

Miguel de Cervantes campus, which allows to solve the problems and needs due to the lack of

security in the wireless network of the institution. The implementation of the proposed solution

provides a scheme for controlling and managing user access, getting the use of the network is used

exclusively for users linked to the institution; making efficient the network management and

ensure the availability of resources and services. The analysis and design of security architecture

were proposed based on adaptability to the needs of administrative and network infrastructure tools

of the institution. The stage of development was based on the test implementation of a RADIUS

authentication server that provides services of authentication, authorization and accounting (AAA)

for access to registered users. Thereby optimizing the use of bandwidth and reduced network traffic

is achieved. Roles and services available from the base operating system, digital certificates, an

active directory and a database in SQL Server were also used. Development tools and

implementation were of proprietary software. Therefore, the end result is presented as a

manageable security scheme for proper management and control user access.

(25)

25

CAPÍTULO I

INTRODUCCIÓN

1.1 El Problema de Investigación

1.1.1 Planteamiento del Problema

El desarrollo de sistemas, redes de telecomunicaciones, tecnología, medios de

comunicación y diversos factores han permitido el desarrollo y avance de la sociedad en

distintos campos como las TICs. Ahora las redes informáticas y de telecomunicaciones se

establecen con mayor frecuencia debido a la necesidad de comunicación de la sociedad; es

por eso que la seguridad es un factor que se vuelve muy importante al momento de

garantizar una estabilidad, integridad, confiabilidad, disponibilidad, y sobretodo protección

de los recursos. Hoy en día un sin número de organizaciones, corporaciones, instituciones

bancarias y académicas, etc., al tener un manejo y gestión de la red que utilizan requieren

tener un control que permita conocer que o quienes pueden tener acceso a la misma.

En la Universidad Internacional SEK la red de comunicación constituye la red

alámbrica e inalámbrica gestionada mediante diversas herramientas de administración, y

(26)

26

al sistema otorgando las debidas autorizaciones que proporcionan una comunicación

segura.

La red inalámbrica se encuentra gestionada por herramientas básicas para el control

de conexión, sin embargo, los accesos a la misma no son controlados, siendo expuesto

contra riesgos tanto por vulnerabilidades internas de seguridad como también por las

constantes amenazas presentes en el exterior.

Los equipos que constituyen los puntos de acceso a la red inalámbrica, proveen el

servicio de conexión a internet a los usuarios de la institución cuyo acceso es directo sin

ningún tipo de restricción debido a que la red se encuentra abierta para el público

ocasionando mayor tráfico en la red al haber mayor número mayor de usuarios.

El crecimiento y aparición de nuevas redes de comunicaciones con tendencia hacia

redes inalámbricas hace necesario tener o emplear un esquema de seguridad y gestión de

riesgo tanto para los administradores como para los usuarios, que deben confirmar su

autenticación para acceder a los recursos que estén establecidos a su disposición con las

respectivas autorizaciones; permitiendo tener un registro continuo de las actividades y el

tráfico generado de modo seguro evitando así que intrusos puedan ingresar y obtener

información confidencial de la Institución o de sus usuarios.

Por lo tanto una administración de los usuarios mediante un servicio de gestión,

(27)

27

autenticación y un servidor de base de datos ofrecerá mejores prestaciones en la

arquitectura de seguridad para la gestión de control de accesos y autenticación en la red

institucional.

1.1.2 Objetivo General

Analizar, diseñar e implementar una arquitectura de seguridad para el control y

autenticación de los usuarios, que permita una adecuada gestión de las cuentas de los

usuarios en un sistema de control general brindando mayor eficiencia y reduciendo al

máximo los riesgos en la red inalámbrica del campus Miguel de Cervantes de la

Universidad Internacional SEK.

1.1.3 Objetivos Específicos

 Conocer el estado actual de la arquitectura, seguridad e infraestructura de red de la Universidad Internacional SEK.

 Plantear una arquitectura de seguridad para la gestión y control de acceso de los usuarios a la red inalámbrica de la Institución.

(28)

28

 Implementar el modo de autenticación y control de usuarios gestionado por un servicio de directorio para cuentas de usuarios.

 Determinar un sistema de monitoreo que permita el control de acceso en la red de la institución académica.

1.1.4 Justificación

Ahora la propuesta de análisis, diseño e implementación de una arquitectura de

seguridad en la red inalámbrica del campus Miguel de Cervantes de la Universidad

Internacional SEK para el control y autenticación de los usuarios (estudiantes, profesores,

invitados y la administración) a través de un sistema de gestión permitirá un eficiente uso

de la red dando mejor disponibilidad, control y organización tanto de la información y el

tráfico generado logrando un correcto desempeño de toda la red.

Para obtener grandes ventajas en el control y autenticación en el uso de la red, y

diversas aplicaciones y servicios en general de la Institución; es necesario un análisis de

diseño e implementación de un esquema que permita tener un control general que abarque:

autenticación, autorización y contabilidad en base a una arquitectura de red que incluirá

algunos factores a considerar como son:

o Servidor Radius: Permite proporcionar 3 servicios: autenticación, autorización y

(29)

29 o Certificados Digitales: Permite mejorar la seguridad en el control de accesos a la red,

y el cifrado de las comunicaciones.

o Sistema de Gestión de Acceso y Control: Utilización del protocolo RADIUS/LDAP

que brindará una mejor organización en el acceso de servicios de directorio ordenado

y distribuido.

El diseño e implementación de la arquitectura de seguridad para la gestión de

control y autenticación de accesos en la red involucran distintos procesos que se llevan a

cabo dentro de la institución (Universidad Internacional SEK), los cuales deberán ser

considerados al realizar las pruebas correspondientes.

1.1.5 Alcance

El presente proyecto permitirá obtener una arquitectura de seguridad más robusta

para el control de acceso a la red inalámbrica, siendo una base para implementarse en otro

campus de la institución. Adicionalmente se busca una optimización en la gestión de

control de los usuarios a la red inalámbrica y la correcta distribución de los canales de

comunicación hacia los usuarios para un eficiente y efectivo desempeño de la red de la

(30)

30 1.2 Marco Teórico

1.2.1 Estado actual del conocimiento sobre el tema

Debido al ingreso constante de estudiantes nuevos, visitantes, docentes y el

personal como tal de la institución (UISEK), han dado lugar a que el control de acceso

tanto a la red alámbrica como inalámbrica se vuelva muy amplia y extensa. Actualmente

el estado en el cual se encuentra la gestión para el control y seguridad de acceso a las redes

es básico de acuerdo a los nuevos estándares.

La gestión para el control de acceso y seguridad hacia la red inalámbrica de la

Universidad Internacional SEK se volvería incontrolable dejando toda la carga hacia el

firewall que posee la institución. El uso de nuevas tecnologías que provean un sistema de

gestión más óptimo con servicios de directorio sería una ayuda y sobretodo una solución.

El problema con la red inalámbrica de la Universidad Internacional SEK se centra

en la falta de una implementación de una arquitectura de seguridad que como base posea

un control de usuarios que acceden o accederán a la red de la Institución.

Una de las medidas que se podría efectuar para dar solución al problema es la

implementación de un control de acceso para todos los usuarios de la red inalámbrica

considerando:

(31)

31 o El tráfico ocasionado por el uso de la red.

o Políticas de acceso y autenticación para todos los usuarios en general.

o Arquitectura de seguridad de red.

o Preferencias de acceso a la red.

Un gran inconveniente en la actualidad es la seguridad que pueda ofrecer una red

de comunicación, el cual queda en evidencia en el poco control que se brinda al momento

de acceder a la misma. Por lo tanto cada organización o institución educativa debe tener un

modelo de seguridad que utilice herramientas para el control y la autenticación al momento

de ingresar. Ahora la Universidad Internacional SEK no cuenta con una arquitectura de

seguridad robusta para la red inalámbrica, por tal motivo el diseño e implementación de

una arquitectura de seguridad para el control de acceso de los usuarios seria lo adecuado.

La Implementación de una arquitectura de seguridad para la gestión de control de

acceso por medio de los protocolos LDAP o RADIUS, deberá orientarse a establecer una

adecuada organización que permita el acceso a la información almacenada y centralizada

a través de la red. Esto habilita un mejor control de accesos mediante autenticación a través

de cuentas de usuarios de manera individual siendo gestionados por un sistema de manejo

de directorio, donde la información de todos los usuarios puede ser categorizada y

jerárquica incluyendo atributos como nombres, directorios, números telefónicos, e

(32)

32

De igual manera para una correcta implementación se tienen distintos estándares

relacionados con un sistema de gestión para el control que son aplicables, considerando

puntos como: el marco de autenticación, protección de los datos del directorio, definición

de accesos y servicios, procesos para operaciones distribuidas, especificación de protocolos

de acceso y sistema, tipos de atributos seleccionados y clases de objetos seleccionados.

X.500, es un servicio de directorio global cuyos componentes gestionan la

información de objetos como organizaciones, personas, equipos, y proporciona una

búsqueda de información por nombre. Dicha información se mantiene en una base de

información de directorio (DIB). Las entradas en el DIB se estructuran en un árbol de

información de directorio (DIT).

Cómo LDAP está basado en el servicio de directorio X.500, que después pasó a ser

un conjunto de estándares de redes de ordenadores que brindaban indicaciones sobre

servicios de directorio y la manera de estructurar directorios globales.

Los protocolos definidos por X.500 incluyen: protocolo de acceso al directorio

(DAP), el protocolo de sistema de directorio, el protocolo de ocultación de información de

directorio, y el protocolo de gestión de enlaces operativos de directorio. Otro de los

estándares es X.509, que hace referencia a certificados de clave pública.

También otro Protocolo a considerar dentro del diseño de una Arquitectura es RPC

(33)

33

ordenador ejecutar código en otro ordenador remoto sin tomar en consideración las

comunicaciones entre ambos.

El avance tecnológico ha ocasionado que la información que se maneja sea

demasiado extensa con un alto grado de crecimiento por año. El gran volumen de

información ocasiona un problema que hace difícil una óptima organización, recuperación

de datos y gestión de usuarios. Adicionalmente en redes tanto informáticas como de

telecomunicaciones en cada organización, corporación, institución, o empresa en general,

es indispensable que contengan redes de ordenadores en constante operación para sus

actividades, que no solo se limiten a un lugar específico o compartan recursos entre sí; sino

también que alcancen una adecuada y confiable comunicación, además de otros aspectos.

Entre los aspectos principales esta la administración de los usuarios de una red por

medio de un sistema de base de datos o directorio activo que permitan mantener la

información actualizada de forma instantánea y sea accesible desde cualquier lugar.

Por lo general, se hace necesario en las organizaciones e instituciones que las redes

de comunicaciones contengan un directorio centralizado con las cuentas de usuarios

respectivas para que de forma individual puedan iniciar una sesión desde cualquier estación

de trabajo perteneciente a un mismo dominio sin que conlleve a la creación innecesaria de

nuevas cuentas de manera local; alcanzando así un mayor y mejor control de recursos, y

(34)

34

Para el presente proyecto se pretende explicar el diseño e implementación de un

esquema de seguridad que se debería efectuar en un ambiente cotidiano dado por lo general

en entidades que prestan un servicio de acceso a internet a través de la red inalámbrica.

Durante el ciclo del proyecto, al orientarse al control de acceso y seguridad en la

red inalámbrica se utilizará el estándar IEEE 802.1x que indica normas para el control de

acceso a la red basado en puertos, permitiendo la autenticación de los usuarios. Con lo cual

ayuda en el análisis y diseño de la solución del proyecto.

También se considerará las tecnologías para acceso seguro mediante Wi-Fi

Protected Access 2 (WPA2) utilizado tanto en organizaciones privadas como públicas y

EAP, el cual es un protocolo que al permitir múltiples métodos de autenticación, los

usuarios pueden autenticarse, enviar o recibir información en ambientes inalámbricos

como: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS.

Todos estos mecanismos y tecnologías se integrarán con los protocolos RADIUS

(Remote Authentication Dial In User Service) y LDAP (Lightweight Directory Access

Protocol), donde permitirán una administración de los usuarios ya sea por medio de una

plataforma de gestión web o directamente desde el servidor de directorios a través de la

plataforma de administración; además de llevar un registro de actividades y proporcionar

permisos o la restricción de los recursos independientemente a cada usuario o grupo de

(35)

35

Para el proyecto de investigación se utilizarán herramientas de software como: SQL

Server, RADIUS, LDAP, entre otros. También se tendrá siempre en consideración tanto

los estándares como las tecnologías en el transcurso del desarrollo del proyecto para

proporcionar directivas y lineamientos que se ajusten al ambiente en progreso, y una

interoperabilidad informática que favorezca sobre todo a satisfacer las necesidades de una

organización y de sus usuarios brindando soluciones óptimas a los problemas.

1.3 Marco Conceptual

1.3.1 Sistema Operativo

Un sistema operativo (SO) es un programa y parte de un sistema computacional

que cumple distintas funciones, donde su objetivo es simplificar la gestión, el manejo y la

utilización de los recursos del ordenador ya sea a nivel de hardware o software brindando

eficiencia y seguridad. Actualmente los sistemas operativos han ido evolucionando dando

nuevas funcionalidades como: interfaces gráficas, protocolos de comunicación, etc.

Las funciones principales que desempeña un sistema operativo son:

o Gestión de recursos de la equipo (ordenador)

o Ejecución de servicios para los programas o aplicaciones

(36)

36 1.3.2 Servicios del Sistema Operativo

Un sistema operativo al crear un entorno para la ejecución de programas, procesos

o tareas, proporciona servicios a los programas y a los usuarios de dichos programas. Estos

servicios posibilitan la comodidad del programador y facilitan la programación. Entre los

principales servicios se encuentran los siguientes:

o Ejecución de programas: el sistema permite la carga del programa en memoria para

ejecutarlo.

o Operaciones de E/S: un programa en ejecución podría requerir E/S; lo que

implicaría el uso de un archivo o dispositivo de E/S. Por tanto el sistema operativo

deberá proporcionar un mecanismo para realizar E/S.

o Manipulación del sistema de archivos: los programas requieren la lectura y escritura

de archivos al igual que la creación, modificación y eliminación de archivos.

o Comunicaciones: cuando un proceso necesita el intercambio de información con

otro, la comunicación se puede efectuar entre procesos que se ejecutan en un mismo

ordenador o en diferentes ordenadores conectados a una red. Para ello, la

comunicación puede darse mediante memoria compartida o por transferencia de

mensajes, donde el sistema operativo traslada paquetes de información entre los

procesos.

o Detección de errores: un sistema operativo necesita estar pendiente en todo

momento de posibles errores en el hardware, software y sobretodo en la red. El

sistema operativo deberá tomar acciones apropiadas para asegurar el correcto

(37)

37 1.3.3 Sistemas Distribuidos

Un sistema distribuido es un conjunto de ordenadores físicamente separados que

están conectados en red para proporcionar a los usuarios el acceso a distintos recursos del

sistema. Ciertos sistemas operativos recurren a funciones de red, otros toman los accesos

de red como un tipo de acceso de archivo, entre otros modos, por ejemplo: FTP y NFS.

Ahora las funcionalidades de un sistema distribuido dependerán de la red, y de los

protocolos utilizados en efecto.

Los sistemas distribuidos al ser establecidos permiten la entrega de diversas

funcionalidades como:

o Recursos compartidos: ofrece mecanismos para compartir archivos de forma

remota, procesar información de una base de datos distribuida, impresión de

archivos, procesamiento de información y de operaciones; como por ejemplo: al

haber distintos sitios conectados a través de la red, el usuario de un sitio puede

utilizar los recursos que se encuentren disponibles en otro.

o Velocidad computacional: permite dividir un proceso o cálculo en sub procesos o

sub cálculos para una ejecución más rápida, debido que al distribuirse una tarea en

un sistema distribuido la carga computacional se vuelve compartida.

o Confiabilidad: en ocurrencia de un incidente en un sitio de un sistema distribuido,

los demás sitios deberán seguir en funcionamiento ya que cada terminal que

(38)

38 o Comunicación: al estar conectados distintos puntos de una red de comunicaciones,

los procesos que se ejecutan en diferentes sitios pueden efectuar el intercambio de

información.

1.3.4 Hardware de red

Los sistemas distribuidos se construyen sobre las redes de computadoras, las cuales

pueden ser principalmente las redes: LAN (Redes de área local), que cubren un edificio o

un campus, y WAN (Redes de área amplia), que cubren una ciudad, país, o incluso

continentes a nivel mundial. El tipo de LAN más importante es Ethernet, y para WAN seria

Internet (aunque técnicamente es una red de redes).

En una red Ethernet, se toma en consideración la longitud máxima de cable y un

número máximo de terminales (ordenadores) que se pueden conectar. Al momento de

extender los límites de la red se requerirá mayor cableado que se conectarán por medio de

dispositivos como puentes (bridges) para permitir que el tráfico pase de una red Ethernet

a otra, y conmutadores (switches) para evitar colisiones, ya que cada ordenador tendrá su

(39)

39

Figura No. 1: Ethernet conmutada

Fuente: El autor

Para la red de internet que inició como ARPANET, tuvo un crecimiento rápido al

abarcar cientos de terminales, que después se conectaban a redes de radio paquetes, redes

satelitales, redes Ethernet dando lugar a la federación de redes denominada Internet.

Internet principalmente abarca dispositivos como: concentradores (hubs),

enrutadores (routers), anfitrión (host), etc. Los hosts son PCs, notebooks, dispositivos de

bolsillo, servidores, mainframes y otros ordenadores que poseen los usuarios o empresas

que desean conectarse a Internet. Los enrutadores son conmutadores especializados, que

reciben paquetes de una de varias líneas entrantes, y los envían a través de muchas líneas

salientes.

Los enrutadores se conectan entre sí en grandes redes, donde cada enrutador posee

(40)

40

de Internet) al igual que compañías telefónicas operan extensas redes de comunicaciones

para sus clientes.

Figura No. 2: Internet

Fuente: El autor

En redes de comunicaciones se da una clasificación en base a: la tecnología de transmisión

y escala. Existen dos tipos de tecnología de transmisión: los enlaces de difusión (broadcast)

y los enlaces de punto a punto. Una red punto a punto conectan pares individuales de

ordenadores, y en una red de difusión todas los equipos comparten el canal de

comunicación; una red inalámbrica es un ejemplo de una red de difusión.

Por su escala las redes se clasifican en redes de área personal, destinadas a una persona.

Después se encuentran redes más grandes, divididas en redes de área local, de área

(41)

41 1.3.4.1 PAN

Las redes de área personal PAN (Personal Area Network) permiten la

comunicación de dispositivos dentro del rango de una persona. Por ejemplo: una

red inalámbrica que conecta a un ordenador con sus periféricos.

1.3.4.2 LAN

Las redes de área local, LAN (Local Area Networks), son redes de

propiedad privada que operan dentro de un solo edificio, casa, oficina. Las redes

LAN se utilizan para conexión de ordenadores para compartir recursos e

intercambiar información.

1.3.4.3 WAN

Una Red de Área Amplia, WAN (Wide Area Network), son redes que

constituyen una extensa área geográfica, país o continente.

1.3.5 Redes inalámbricas

Una red inalámbrica es una red en la que dos o más terminales se pueden comunicar

sin necesidad de una conexión por cable. Las redes inalámbricas permiten al usuario

mantenerse conectado al desplazarse en una determinada área geográfica. Las redes

inalámbricas se basan en enlaces que utilizan ondas electromagnéticas en lugar del

(42)

42

velocidad de transmisión. Las redes inalámbricas se clasifican de acuerdo al área de

cobertura desde la que un usuario se conecta a la red.

1.3.5.1 Redes de área local inalámbricas (WLAN)

Una red de área local inalámbrica (WLAN), abarca un área equivalente a

una red local de una empresa, con un alcance aproximado de 100 metros. Con lo

cual las terminales que se encuentran dentro de un área de cobertura determinada

puedan conectarse entre sí.

1.3.5.2 Tecnología Wi-Fi

Una red Wi-Fi (marca de Wi-Fi Alliance) es una red de comunicación de

datos que permite conectar equipos como: servidores, ordenadores, etc., sin

necesidad de cableado.

Una red Wi-Fi permite una interoperabilidad de los equipos de una red según la

norma IEEE 802.11, siendo compatibles con cualquier fabricante que utilice estos

estándares. Los componentes básicos de una red Wi-Fi son:

o Punto de acceso (AP): permiten la unión entre redes cableadas y una red Wi-Fi,

o entre varias redes Wi-Fi, que actúa entonces como repetidor de la señal entre

estas zonas (celdas).

(43)

43 o Terminal Wi-Fi: puede ser un dispositivo externo, que se instala en un equipo

terminal, o puede estar integrado en equipos terminales portátiles y móviles.

1.3.5.3 Estándares Wi-Fi

IEEE (International Electrical and Electronic Engineers), Instituto

Internacional de Ingenieros Eléctricos y Electrónicos), es un organismo encargado

de la publicación de artículos, realización de conferencias y redacción de

estándares. El IEEE proporciona una extensa familia de estándares relacionados

con las redes de área local como la 802.

1.3.5.4 Estándar 802.1x

El estándar IEEE 802.1x se define como un protocolo de control de acceso

y autenticación basada en una arquitectura cliente-servidor, que impide que los

clientes (usuarios) se conecten a una red LAN a través de puertos de acceso público

sin ser autenticados.

1.3.5.5 IEEE 802.1x y EAP

El protocolo de autenticación IEEE 802.1x (conocido como Port-Based

Network Access Control) es un entorno desarrollado en principio para redes

(44)

44

claves; además de incluir controles de acceso para usuarios de una red. La

arquitectura IEEE 802.1x está compone 3 entidades funcionales:

o suplicante que se une a la red.

o autenticador que controla el acceso.

o servidor de autenticación que realiza la autorización.

En las redes inalámbricas, el punto de acceso se lo considera como

autenticador. Cada puerto físico o virtual en redes inalámbricas, se divide en dos

puertos lógicos, formando un PAE (Port Access Entity). El PAE de autenticación

se encuentra siempre abierta y da paso a procesos de autenticación, en cambio el

PAE de servicio sólo se abre al haber una autenticación satisfactoria como por

ejemplo una autorización. El servidor de autenticación (puede ser un servidor

RADIUS) toma la decisión de otorgar el permiso de acceso.

Ahora el estándar 802.11i realiza modificaciones a la IEEE 802.1x para que

las redes inalámbricas puedan estar protegidas contra incidentes de robo de

identidades. La autenticación de los mensajes asegura de que tanto el suplicante

como el autenticador prevean sus claves secretas y activen la encriptación previo

acceso a la red. El suplicante y el autenticador se comunican mediante el protocolo

basado en EAP. El autenticador simplemente se limita a enviar todos los mensajes

(45)

45

EAP es un entorno dirigido al transporte de varios métodos de autenticación

con un número limitado de mensajes (Request, Response, Success, Failure),

mientras que otros mensajes intermedios dependen del método de autenticación

seleccionado: EAP-TLS, EAP-TTLS, PEAP, EAP-SIM etc. Al completarse el

proceso, tanto el suplicante como el servidor de autenticación tendrán una clave

secreta. El protocolo utilizado en redes inalámbricas para el transporte EAP se

denomina EAPOL (EAP Over LAN), y para comunicaciones entre el autenticador

y un servidor de autenticación se utilizan protocolos de nivel más alto, como

Radius, etc.

1.3.6 Software de red

Gran número de redes se organizan como una pila de niveles, dichos niveles

difieren entre una red y otra. El propósito de cada nivel es proporcionar ciertos servicios a

los niveles superiores, es decir, cada nivel ofrece servicios al nivel que se encuentra encima.

1.3.7 Servicios de conexión

Los niveles proporcionan 2 tipos distintos de servicio a los niveles superiores: orientado a

conexión y sin conexión.

1.3.7.1 Servicio orientado a conexión

Este servicio surge a partir del sistema telefónico. Un servicio de red

(46)

46

y luego la libera; de modo que se conserva el orden de los bits desde que fueron

enviaron.

1.3.7.2 Servicio orientado sin conexión

Este servicio surge a partir del sistema postal. En un servicio de red

orientado sin conexión, cada paquete tiene la dirección de destino completa, y cada

uno es direccionado hacia nodos intermedios dentro del sistema, de manera

independiente a todos los paquetes subsecuentes.

1.3.7.2.1 UDP

UDP (User Data Protocol), es un protocolo a nivel de

transporte que se basa en el intercambio de datagramas. Permite el envío

de datagramas a través de la red sin establecerse una conexión previa.

1.3.8 Arquitectura de seguridad

AAA (Authentication, Authorization and Accountig) es una arquitectura de

seguridad, que se divide en tres módulos: Autenticación, Autorización, Contabilidad que

trabajan en conjunto, proporcionando una conexión de red eficiente y segura. Entre sus

(47)

47 o Autenticación: ofrece el método de identificación de usuarios, que incluye nombre de

usuario, contraseña, soporte de mensajería, y, dependiendo del protocolo de seguridad

escogido, ofrece un cifrado.

o Autorización: ofrece el método para control de acceso remoto, que incluye autorización

total o por cada servicio, perfil por usuario, lista de cuentas, soporte de grupos, etc.

o Contabilización: ofrece el método de recopilación y envió de información a un servidor

de seguridad, que es usado en facturación, auditoria y reporte de: nombres de usuario,

tiempo de inicio y fin, cantidad de paquetes enviados, número de bytes.

AAA provee ciertas ventajas como arquitectura de seguridad:

o Control de configuraciones de acceso y mayor flexibilidad.

o Uso de métodos de autorización estandarizados, como RADIUS, TACACS+, etc.

o Variedad de sistemas de apoyo (backup).

1.3.9 Modelo de referencia TCP/IP

Este modelo se basa en la necesidad de que la información y los datos organizados

en forma de paquetes recorran a su destino independientemente de la condición de

cualquier nodo o red determinado. TCP/IP constituye 4 niveles: nivel de aplicación, nivel

de transporte, nivel de red y nivel de enlace.

o Nivel de enlace: realiza el manejo de datos hacia o desde el medio físico.

o Nivel de red: realiza el envío de los datos desde el origen al destino.

o Nivel de transporte: realiza el manejo de comunicaciones entre los equipos de extremo

(48)

48 o Nivel de aplicación: realiza el manejo de implementación de aplicaciones de usuarios.

Figura No. 3: Modelo TCP/IP

Fuente: El autor

1.3.10 Seguridad en redes inalámbricas

1.3.10.1 Autenticación

La autentificación permite verificar la identidad de un usuario o un

proceso mediante el uso de credenciales que contengan: usuario y contraseña, hasta

(49)

49 1.3.10.2 Criptografía

La criptografía se basa en el cifrado o descifrado de la información digital

mediante el empleo de técnicas matemáticas. En el proceso de encriptación, un

mensaje contiene información que es cifrada y solo puede ser descifrada por quien

posea la clave, resultando un proceso de des encriptado.

Figura No. 4: Criptografía de datos

Fuente: El autor

Los métodos de encriptación se dividen en:

1.3.10.2.1 Criptografía de Clave Simétrica

Se utiliza una misma clave secreta en el emisor y receptor para encriptar

y desencriptar la información transmitida, dicha clave será intercambiada entre los

equipos a través de un canal seguro. El uso de algoritmos simétricos se hace útil

(50)

50 o DES: Basado en un sistema mono alfabético, que utiliza un algoritmo de cifrado

que aplica permutaciones y sustituciones sucesivamente.

o IDEA: Basado en el uso de bloques de texto de 64 bits, y opera con números de

16 bits mediante operaciones XOR, también utiliza suma y multiplicación de

enteros.

o RC5: Basado en la aplicación de operaciones XOR sobre los datos. Utiliza

diferentes longitudes de clave, iteraciones, y funciona como generador de

números aleatorios.

o AES: Basado en la aplicación de bloques y claves de longitud variable.

1.3.10.2.2 Criptografía de Clave Asimétrica

Se utiliza 2 llaves diferentes uno para el emisor y otro para el receptor.

Cada usuario tendrá una clave privada y una clave pública; donde la clave privada

será secreta y estará protegida por el propio usuario, en cambio la clave pública será

accesible para todos los usuarios que constituyen el sistema de comunicación. Este

tipo de criptografía ofrece integridad y autenticidad. Los algoritmos asimétricos se

basan en funciones matemáticas, y entre los principales se encuentran:

o Diffie-Hellman: Basado en la generación de una clave privada simétrica en el

(51)

51 o RSA: Basado en el problema de factorización de números enteros para la

resolución del problema de distribución de llaves simétricas y muy utilizado en

firmas digitales.

1.3.10.3 Algoritmos de Autentificación HASH

Los algoritmos de autenticación hash constituyen un método de

generación de claves que representan un conjunto de datos. Una función hash es

una operación matemática realizada sobre el conjunto de datos, y cuya salida es una

huella digital independiente del tamaño del conjunto de datos original. El cifrado

de una huella digital se denomina como una firma digital.

o MD5: Es una función hash de 128 bits que no permite el cifrado de un mensaje,

donde la información original no es recuperable.

o SHA-1: Compone un bloque de 160 bits donde la función de compresión es

compleja haciéndolo más robusto y seguro.

o SHA-2: Su diseño es mejorado con respecto a SHA-1 siendo más seguro, y por

ende más lento en su procesamiento y uso.

1.3.11 Servicio de Directorio

Un servicio de directorio (SD) es una aplicación o conjunto complejo de

(52)

52

organiza la información de los usuarios de una red, mediante la gestión del acceso de los

usuarios a los recursos de la red.

Los directorios generalmente contienen información detallada en base a atributos y

filtrado pero no soportan transacciones complejas ni esquemas de Roll Back como en los

sistemas de bases de datos; ya que las actualizaciones de los directorios son cambios

simples.

Un servicio de directorio proporciona una interfaz de acceso a los datos, la cual la

autenticación de los accesos al servicio de forma segura y centralizada para el acceso a los

recursos del sistema que manejan los datos del directorio.

1.3.12 Certificado Digital

Es un conjunto de credenciales de autentificación cifradas que se identifican

mediante una clave pública que verifica la firma digital incluida. Los certificados digitales

evitan la visualización de información que se intercambia en la red al momento del envío

o recepción de datos. Un certificado digital constituye 3 partes importantes que incluyen:

o Una clave pública.

o Identidad del remitente (nombre y datos generales).

(53)

53

El estándar que establece el formato de uso de un certificado digital es el X509. Un

certificado digital entonces además de autenticar a un usuario de red permite:

o Autenticar al usuario al momento de identificarse.

o Firmar digitalmente un documento digital.

o Manejar documentos digitales que están firmados digitalmente considerando la

confiabilidad del remitente y del destinatario.

o Mantener la integridad, confidencialidad y disponibilidad de la información

(documento digital) entre el remitente y el receptor.

o Realizar transacciones comerciales con seguridad y legalidad.

A la entidad que otorga certificados digitales se denomina autoridad de

certificación.

1.3.13 Autoridad Certificadora CA

Es la autoridad encargada de firmar los certificados y confirmar que el propietario

de un certificado es quien dice ser. Una autoridad certificadora puede certificar identidades

de otras autoridades certificadoras. El proceso se detiene cuando una autoridad no tiene

quién la certifique, por lo que el certificado lo debe firmar la misma, siendo un certificado

de raíz.

La Autoridad Certificadora administra, determina el tiempo de validez y mantiene

(54)

54 1.3.14 Renovación de Certificados

Es el proceso de actualización de datos del usuario que posee el certificado. Este

proceso se realiza cuando las claves han expirado o la seguridad ha sido vulnerada.

1.3.15 Revocación de Certificados

Es el proceso en el cual la autoridad certificadora notifica a todas las entidades

cuando un certificado es suspendido o revocado.

1.3.16 PEAP

El Protocolo de autenticación extensible protegido (PEAP), utiliza una seguridad

de nivel de transporte (TLS) para crear un canal cifrado y seguro entre un cliente de

autenticación PEAP como un equipo inalámbrico, y un autenticador PEAP como un

servicio de autenticación de internet (IAS) o un servidor de autenticación (RADIUS).

PEAP no especifica un método de autenticación, pero proporciona seguridad adicional para

protocolos de autenticación EAP, como EAP-MSCHAPv2, que operan a través de un canal

cifrado de TLS proporcionado por PEAP. El protocolo PEAP se implementa como un

método de autenticación para equipos cliente inalámbricos 802.11, sin embargo, no admite

(55)

55 1.3.17 LDAP

LDAP (Lightweight Directory Access Protocol), es un protocolo a nivel de

aplicación basado en el estándar X.500 (conjunto de estándares de redes de ordenadores de

la ITU-T sobre el servicio de directorios) que permite el acceso a un servicio de directorio

ordenado y distribuido en un entorno de red. Este protocolo se ejecuta sobre TCP/IP o sobre

otros servicios de transferencia orientados a conexión; con lo cual proporciona acceso a la

información del directorio para su búsqueda.

LDAP es similar a una base de datos que permite el procesamiento de consultas, y

al ser un sistema cliente - servidor puede usar diversas bases de datos para almacenar un

directorio, para operaciones de lectura rápida de gran volumen.

A menudo se almacena información de los usuarios que pertenecen a una red de

ordenadores, como por ejemplo el nombre de usuario, contraseña, directorio, etc., sin

embargo es posible almacenar también otro tipo de información tal como, el número de

teléfono celular, fecha de nacimiento, ubicación de los recursos de la red, permisos,

certificados, etc.

Cuando un cliente LDAP se conecta a un servidor LDAP puede consultar un directorio, o

modificarlo. Al transcurrir la consulta, el servidor, puede contestarla localmente o dirigir

la consulta a un servidor LDAP que tenga la respuesta. Si el cliente intenta modificar

información en un directorio LDAP, el servidor realiza una verificación y confirmación de

(56)

56

información. Entonces, LDAP es un protocolo de acceso unificado a un conjunto de

información sobre los usuarios de una red de comunicación de ordenadores.

1.3.18 RADIUS

RADIUS (Remote Authentication Dial-In User Server), es un protocolo que permite la

gestión para la “autenticación, autorización y registro” de usuarios remotos para el uso de

un determinado recurso, o aplicaciones de acceso a la red e IP. RADIUS para establecer

conexiones de comunicación utiliza los puertos 1812 y 1813 UDP.

Cuando el tamaño de una red es grande y se necesita proporcionar un servicio de acceso

centralizado, las organizaciones optan por hacerlo mediante diversos servidores RADIUS.

El brindar acceso a internet o conexión con otras redes corporativas con diferentes tipos de

tecnologías de red (VPNs, WIFI, MÓDEMs, Xdsl, redes inalámbricas) mediante éste

protocolo no sólo se centra en la gestión de acceso a la propia red sino también para

servicios de Internet como el correo electrónico, la web o en el proceso de señalización SIP

en VoIP.

Por ejemplo, en el proceso de conexión con un ISP a través de un medio de conexión como:

módem, DSL, cable módem, Ethernet o Wi-Fi, se envía información (nombre de usuario y

contraseña) que es transferido a un dispositivo NAS (Network Access Server) sobre el

protocolo PPP, el cual re direcciona la petición a un servidor RADIUS sobre el protocolo

Referencias

Documento similar

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

Habiendo organizado un movimiento revolucionario en Valencia a principios de 1929 y persistido en las reuniones conspirativo-constitucionalistas desde entonces —cierto que a aquellas

The part I assessment is coordinated involving all MSCs and led by the RMS who prepares a draft assessment report, sends the request for information (RFI) with considerations,

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

La determinación molecular es esencial para continuar optimizando el abordaje del cáncer de pulmón, por lo que es necesaria su inclusión en la cartera de servicios del Sistema